Wprowadzenie polityki bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym.
Dz.Urz.CBA.2010.1.25
Akt utracił mocDECYZJA Nr 80/09
SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO
z dnia 9 października 2009 r.
w sprawie wprowadzenia polityki bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym
ZAŁĄCZNIK
POLITYKA BEZPIECZEŃSTWA INFORMACJI W CENTRALNYM BIURZE ANTYKORUPCYJNYM
POLITYKA BEZPIECZEŃSTWA INFORMACJI W CENTRALNYM BIURZE ANTYKORUPCYJNYM
Załącznik Nr 1
Rozdział I
BEZPIECZEŃSTWO OSOBOWE
BEZPIECZEŃSTWO OSOBOWE
Rozdział II
BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE
BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE
Rozdział III
BEZPIECZEŃSTWO SYSTEMÓW I SIECI TELEINFORMATYCZNYCH
BEZPIECZEŃSTWO SYSTEMÓW I SIECI TELEINFORMATYCZNYCH
Załącznik Nr 2
METODA ANALIZY RYZYKA BEZPIECZEŃSTWA ZASOBÓW CENTRALNEGO BIURA ANTYKORUPCYJNEGO
METODA ANALIZY RYZYKA BEZPIECZEŃSTWA ZASOBÓW CENTRALNEGO BIURA ANTYKORUPCYJNEGO
1. Wstęp
1.1. Cel dokumentu
1.2. Adresat dokumentu
1.3. Wymagania i standardy
1.4. Weryfikacja i aktualizacja
1.5. Słownik terminów i skrótów
2. Metoda analizy ryzyka
2.1. Wprowadzenie
2.2. Warunki wstępne
2.3. Analiza i klasyfikacja zasobów
2.4. Szacowanie szkód
2.5. Analiza zagrożeń
2.6. Analiza podatności
2.7. Analiza i prezentacja ryzyka
Załącznik nr 1. Schemat procesu analizy ryzyka bezpieczeństwa CBA
Załącznik nr 2. Przykładowa lista zagrożeń dla systemu informatycznego
1. Wstęp
Dokument niniejszy stanowi załącznik do Polityki Bezpieczeństwa Informacji w Centralnym Biurze Antykorupcyjnym i zawiera opis metody analizy ryzyka bezpieczeństwa zasobów.
1.1. Cel dokumentu
Celem dokumentu jest usystematyzowanie podejścia do tematyki prowadzenia analizy ryzyka bezpieczeństwa zasobów CBA oraz dostarczenie wytycznych dotyczących metody analizy ryzyka bezpieczeństwa zasobów w obszarze zabezpieczeń informatycznych, zabezpieczeń fizycznych, rozwiązań organizacyjno-prawnych.
1.2. Adresat dokumentu
Dokument jest przeznaczony dla pracowników i funkcjonariuszy CBA biorących udział w procesie analizowania i klasyfikowania zasobów CBA oraz zarządzania ryzykiem bezpieczeństwa zasobów CBA.
1.3. Wymagania i standardy
Metoda analizy ryzyka bezpieczeństwa zasobów CBA oparta została na wymaganiach i standardach zawartych w dokumentach:
a) "Polityka bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym", stanowiącej załącznik do decyzji nr 80/09 Szefa Centralnego Biura Antykorupcyjnego z dnia 12 października 2009 r. w sprawie wprowadzenia polityki bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym,
b) PN-ISO/IEC 27001 - Technika informatyczna. Technika Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania,
c) PN-ISO/IEC 17799 - Technika informatyczna. Technika Bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji,
d) ISO/IEC 13335 - Guidelines for the management of IT Security.
1.4. Weryfikacja i aktualizacja
Dla dokumentu oraz metody analizy ryzyka bezpieczeństwa zasobów CBA przyjęto cykliczny tryb przeprowadzania jej weryfikacji i aktualizacji, minimum raz w roku.
1.5. Słownik terminów i skrótów
Dostępność - właściwość zasobów bycia dostępnymi i użytecznymi dla podmiotu uprawnionego na żądanie,
Integralność - właściwość zapewniająca, że informacja nie została zmieniona lub zniszczona w sposób nieautoryzowany,
Osoba nieuprawniona - osoba niepełniąca służby w CBA oraz funkcjonariusz CBA nieposiadający stosownego upoważnienia,
Podatność - słabość zasobu lub grupy zasobów, która może być wykorzystana przez zagrożenie,
Poufność - właściwość polegająca na udostępnieniu zasobu tylko osobom lub podmiotom uprawnionym,
Przetwarzanie informacji - wszelkie operacje wykonywane na informacji, w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie i przesyłanie,
Ryzyko - prawdopodobieństwo, że określone zagrożenie wykorzysta podatność zasobu, aby spowodować straty lub zniszczenie zasobów,
Ryzyko bezpieczeństwa - kombinacja prawdopodobieństwa niepożądanego zdarzenia i jego konsekwencji.
Ryzyko akceptowalne - ryzyko bezpieczeństwa zredukowane środkami ochrony do poziomu zatwierdzonego przez uprawnione osoby,
System informatyczny lub system - zespół współpracujących ludzi, urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania informacji,
Zabezpieczenia - zabezpieczenia informatyczne i kryptograficzne, fizyczne i techniczne oraz stosowane w tym zakresie rozwiązania organizacyjno-prawne,
Zagrożenie - potencjalna przyczyna niepożądanego incydentu związanego z bezpieczeństwem informacji, który może wywołać szkodę dla CBA,
Zasoby - wszystko co ma wartość dla CBA, w szczególności osoby, informacje oraz mienie.
2. Metoda analizy ryzyka
2.1. Wprowadzenie
Przepisy zawarte w dokumencie "Polityka bezpieczeństwa informacji w Centralnym Biurze Antykorupcyjnym", zatwierdzonym przez Szefa CBA, decydują o oparciu procesu zarządzania ryzykiem bezpieczeństwa zasobów na metodzie analizy ryzyka, na którą składają się analiza i klasyfikacja zasobów, szacowanie strat, analiza zagrożeń, analiza podatności, obliczanie ryzyka oraz określenie wymogów bezpieczeństwa. Schemat procesu analizy ryzyka bezpieczeństwa zasobów przedstawiony został w załączniku nr 1.
W metodzie zawarto szczegółowy opis analizy ryzyka bezpieczeństwa zasobów CBA. Obszarem stosowania metody analizy ryzyka bezpieczeństwa zasobów są działania wykonywane przez funkcjonariuszy i pracowników CBA oraz ich środowisko pracy, systemy informatyczne CBA i ich otoczenie oraz elementy organizacyjno-prawne związane z funkcjonowaniem CBA. W metodzie brane są pod uwagę wyłącznie zagrożenia, których potencjalne skutki można redukować poprzez zastosowanie zabezpieczeń.
2.2. Warunki wstępne
Warunkiem koniecznym dla rozpoczęcia procesu analizy ryzyka dla zasobu jest uzyskanie kompletu informacji opisujących dany zasób, w trybie określonym przez politykę bezpieczeństwa informacji.
W przypadku kiedy zasób jest nowoprojektowanym systemem lub siecią teleinformatyczną niezbędne jest udostępnienie specyfikacji funkcjonalnej systemu, wymagań bezpieczeństwa oraz koncepcji technicznej systemu. W przypadku systemu informatycznego znajdującego się w eksploatacji, warunkiem koniecznym jest udostępnienie dokumentacji dotyczącej sposobu działania systemu opracowanej oraz dokumentacji technicznej systemu, dokumentacji zmian w systemie, wymagań bezpieczeństwa oraz opracowanych procedur bezpieczeństwa.
2.3. Analiza i klasyfikacja zasobów
Celem analizy i klasyfikacji zasobów jest identyfikacja zasobów oraz przypisanie do nich atrybutów takich jak: nazwa zasobu, kierownik jednostki organizacyjnej CBA lub dyrektor delegatury ZOR odpowiedzialny za zasób, wartość zasobu, itp., które stanowić będą podstawę dla analizy ryzyka.
Identyfikacja zasobów jest czynnością, która prowadzi do określenia, jakie zasoby należy chronić. Identyfikacja zgodnie z przyjętą klasyfikacją w Polityce Bezpieczeństwa Informacji w Centralnym Biurze Antykorupcyjnym obejmuje co najmniej następujące zasoby:
* Zasoby materialne, w szczególności:
- sprzęt teleinformatyczny i infrastruktura,
- techniczne nośniki informacji,
- budynki, specjalistyczne wyposażenie wnętrz,
- nośniki kopii zapasowych,
- wydruki,
- nośniki z oprogramowaniem,
- instrukcje lub inne zalecenia użytkowania urządzeń specjalistycznych,
- zbiory danych osobowych, w tym kartoteki,
- dane audytu, kontroli;
* Zasoby niematerialne, w szczególności:
- informacje wytwarzane, gromadzone, przetwarzane, i przesyłane w systemach i sieciach teleinformatycznych,
- hasła, kody dostępu,
- informacje na temat środków bezpieczeństwa stosowanych w CBA,
- plany ciągłości działania w sytuacjach krytycznych,
- informacje uzyskane w związku z pełnieniem służby lub pracy w CBA,
- inne informacje wrażliwe.
Identyfikacja zasobów dla systemów i sieci teleinformatycznych dokonywana jest poprzez analizę dokumentacji wymienionej w podrozdziale 2.2 (patrz Tabela nr 1).
Tabela 1. Zasoby systemu
Sprzęt | Nośniki informacji |
1. Zasób 1 | 1. Zasób 4 |
2. Zasób 2 | 2. Zasób 5 |
3. Zasób 3 | 3. Zasób 6 |
... | ... |
Oprogramowanie | Podmioty uprawnione |
1. Zasób 7 | 1. Zasób 9 |
2. Zasób 8 | 2. Zasób 10 |
... | ... |
Informacja | |
1. Zasób 11 | |
... |
Proces identyfikacji zasobów zostanie wsparty kontaktami w trybie roboczym z kierownikiem jednostki organizacyjnej CBA lub dyrektorem delegatury ZOR odpowiedzialnym za zasób.
2.4. Szacowanie szkód
Celem szacowania szkód jest określenie potencjalnego (maksymalnego) rozmiaru szkód, które mogą powstać wskutek utraty przez zasób cech poufności, integralności i dostępności. Szacunek strat dokonywany jest przez kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR odpowiedzialnej za zasób.
a) Oszacowanie szkód przy utracie cechy poufności zasobu polega na przyporządkowaniu wartości całkowitych z przedziału od 1 do 4 w zależności od kryterium istotności zasobu oraz w przypadku informacji niejawnych - klauzuli ujawnionej informacji.
Wartość | Szkoda | Kryterium istotności zasobu |
1 | Niska | - nieuprawnione ujawnienie zasobu nie wpłynie na realizację podstawowych ustawowych celów i zadań CBA, |
2 | Podwyższona | - nieuprawnione ujawnienie zasobu nieznacznie utrudni realizację podstawowych celów i zadań CBA lub ujawniona informacja posiadała klauzulę zastrzeżone, |
3 | Wysoka | - nieuprawnione ujawnienie zasobu utrudni realizację podstawowych celów i zadań CBA lub ujawniona informacja posiadała klauzulę poufne, |
4 | Maksymalna | - nieuprawnione ujawnienie zasobu uniemożliwi realizację podstawowych celów i zadań CBA lub ujawniona informacja stanowiła tajemnicę państwową. |
Dodatkowym kryterium przy szacowaniu szkód jest ilość informacji zasobu. Nagromadzenie informacji może zadecydować o podniesieniu poziomu szkód w stosunku do poziomu wynikającego z opisu skali.
Uzasadnienie wyboru dokonanego przez kierownika jednostki organizacyjnej CBA lub dyrektora Delegatury ZOR odpowiedzialnej za zasób, dotyczącego wartości potencjalnej szkody przy utracie cechy poufności przez zasób przedstawia tabela nr 2.
b) Oszacowanie szkód przy utracie cechy integralności zasobu polega na przyporządkowaniu wartości całkowitych z przedziału od 1 do 4 w zależności od kryterium istotności zasobów.
Wartość | Szkoda | Kryterium istotności zasobu |
1 | Niska | - nieuprawnione zmiany zasobu spowodują negatywne dla CBA skutki, ograniczone do poszczególnych osób lub jednej jednostki organizacyjnej CBA, |
2 | Podwyższona | - nieuprawnione zmiany zasobu spowodują negatywne skutki ograniczone do kilku jednostek organizacyjnych CBA, |
3 | Wysoka | - nieuprawnione zmiany zasobu spowodują negatywne skutki dla instytucji CBA na skalę krajową, |
4 | Maksymalna | - nieuprawnione zmiany zasobu spowodują negatywne dla CBA skutki na skalę międzynarodową. |
Uzasadnienie wyboru dokonanego przez kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR odpowiedzialnej za zasób, dotyczącego wartości potencjalnej szkody przy utracie cechy integralności przez zasób przedstawia tabela nr 2.
c) Oszacowanie szkód przy utracie cechy dostępności zasobu polega na przyporządkowaniu wartości całkowitych z przedziału od 1 do 4 w zależności od kryterium istotności zasobu.
Wartość | Szkoda | Kryterium istotności zasobu |
1 | Niska | - utrata dostępności zasobu może być dłuższa niż 120 godzin, |
2 | Podwyższona | - utrata dostępności zasobu nie może być dłuższa niż 120 godzin. |
3 | Wysoka | - utrata dostępności zasobu nie może być dłuższa niż 48 godzin, |
4 | Maksymalna | - utrata dostępności zasobu nie może być dłuższa niż 12 godzin. |
Uzasadnienie wyboru dokonanego przez kierownika jednostki organizacyjnej CBA lub dyrektora delegatury ZOR odpowiedzialnej za zasób, dotyczącego wartości potencjalnej szkody przy utracie cechy dostępności przez zasób przedstawia tabela nr 2.
Wynikiem szacunku szkód są trzy wartości określające potencjalne, maksymalne szkody, jakie mogą wystąpić w przypadku utraty przez zasób cechy poufności, integralności oraz dostępności (patrz Tabela nr 2).
Tabela 2. Tabela Szkód
Cecha zasobu | Wartość szkód dla zasobu | Uzasadnienie wyboru |
Poufność | Sp | Uzasadnienie A |
Integralność | Si | Uzasadnienie B |
Dostępność | Sd | Uzasadnienie C |
2.5. Analiza zagrożeń
Analiza zagrożeń ma na celu identyfikację, klasyfikację i charakterystykę zagrożeń, których skutkiem może być utrata integralności, poufności lub dostępności zasobu oraz określenie specyficznych cech tych zagrożeń.
Za czynniki niosące zagrożenia dla zasobów przyjęto:
* człowieka,
* sprzęt,
* oprogramowanie,
* zdarzenia losowe.
a) Identyfikacja zagrożeń polega na ustaleniu listy zagrożeń dla zasobu. Na liście umieszczone zostają zagrożenia, których zmaterializowanie zagraża bezpieczeństwu zasobu (patrz Tabela nr 3). Identyfikacja zagrożeń wspierana jest kontaktami w trybie roboczym z kierownikiem jednostki organizacyjnej CBA lub dyrektorem delegatury ZOR odpowiedzialnej za zasób.
Opracowana lista potencjalnych zagrożeń dla zasobów pozwoli na dalszym etapie wytypować obszary, w których powinny zostać wprowadzone dodatkowe zabezpieczenia.
Tabela 3. Lista zagrożeń dla zasobów
Lp. | Zasób | Zagrożenie |
1 | Zasób 1 | Zagrożenie A Zagrożenie B Zagrożenie C |
2 | Zasób 2 | Zagrożenie D Zagrożenie E Zagrożenie F |
b) Klasyfikacja zagrożeń dla wspomnianych wyżej zasobów jest prowadzona w czterech kategoriach związanych z przyczyną ich powstania. Są to zagrożenia związane z:
I - działaniem osób nieuprawnionych, (np. dostęp do zasobu przez nieuprawnionego pracownika lub funkcjonariusza CBA),
II - działaniem o charakterze przestępczym (np. atak na zasób z zewnątrz),
III - zdarzeniem losowym (np. awaria sprzętu, pożar),
IV - niesprawnymi lub źle zastosowanymi zabezpieczeniami (np. tolerowanie lub nieumyślne powodowanie luk w systemie zabezpieczeń).
c) Charakterystyka zagrożeń polega na określeniu dla każdego zagrożenia: (patrz Tabela nr 4)
* kategorii,
* zasobu,
* szczegółowego opisu zagrożenia,
* wpływu zagrożenia na poufność, integralność i dostępność zasobu.
Tabela 4. Charakterystyka zagrożeń
Nr | Zagrożenie | Kategoria | Zasób | Szczeg. opis zagroż. | Oddziaływanie na cechę zasobu | ||
Poufność | Integralność | Dostępność | |||||
1 | A | I | Zasób 1 | Tak | Nie | Nie | |
2 | B | III | Zasób 2 | Nie | Tak | Tak |
Wynikiem analizy zagrożeń jest sklasyfikowana lista zagrożeń dla poszczególnych zasobów. Przykładowa lista zagrożeń przedstawiona została w Załączniku 2.
Dla każdego zasobu powinna zostać opracowana indywidualna lista zagrożeń, jednakże w przypadku zidentyfikowania zasobów możliwych do połączenia w grupy, pomimo różnych jednostek organizacyjnych CBA lub delegatur ZOR odpowiedzialnych za pojedyncze zasoby powinno się je analizować jako grupę zasobów.
2.6 Analiza podatności
Celem analizy podatności jest określenie wrażliwości zasobu, a w konsekwencji informacji, na zagrożenia zidentyfikowane w wyniku analizy zagrożeń. Etap ten, realizowany przy udziale kierownika jednostki organizacyjnej lub dyrektora delegatury ZOR CBA odpowiedzialnej za zasób, umożliwia znalezienie słabych punktów związanych z bezpieczeństwem zasobu (przy uwzględnieniu istniejących zabezpieczeń), które mogą zostać wykorzystane przez zagrożenia.
Analiza podatności prowadzona jest oddzielnie dla trzech cech zasobu: poufności, integralności oraz dostępności.
Na analizę podatności składają się dwa etapy:
* Określenie zabezpieczeń,
* Oszacowanie podatności zasobów na zagrożenia.
a) Określenie zabezpieczeń polega na identyfikacji istniejących zabezpieczeń dla poszczególnych zasobów (patrz Tabela nr 5).
Nieefektywne zabezpieczenia mogą stanowić dodatkowy słaby punkt.
Pod uwagę brane są 3 grupy zabezpieczeń:
* zabezpieczenia informatyczne i kryptograficzne (np. mechanizmy kontroli dostępu, szyfrowanie),
* zabezpieczenia fizyczne i techniczne (np. służby ochronne, alarmy),
* rozwiązania organizacyjno-prawne (np. kontrole, procedury, instrukcje, akty prawne).
Tabela 5. Istniejące zabezpieczenia
Zagrożenie | Zabezpieczenia | ||
Poufność | Integralność | Dostępność | |
Zagrożenie A | Środek 1 | Środek 3 | Środek 3 |
Zagrożenie B | Środek 2 | Środek 4 | Brak |
b) Oszacowanie podatności zasobów na zagrożenia polega na określeniu poziomu słabości zasobów, która może być wykorzystana przez zagrożenia.
W szacowaniu podatności brane są pod uwagę:
* wymogi zachowania poufności, integralności, dostępności zasobu,
* zidentyfikowane zasoby,
* wyniki analizy zagrożeń,
* istniejące zabezpieczenia.
Oszacowanie podatności zasobów na poszczególne zagrożenia dokonywane jest przy zastosowaniu skali czterostopniowej (wartości całkowitych z przedziału od 1 do 4).
Wartość | Podatność | Opis |
1 | Niska | - nakłady niezbędne na przełamanie stosowanych zabezpieczeń wielokrotnie przewyższają potencjalne korzyści, |
2 | Podwyższona | - nakłady niezbędne na przełamanie stosowanych zabezpieczeń przewyższają potencjalne korzyści, |
3 | Wysoka | - nakłady niezbędne na przełamanie stosowanych zabezpieczeń są niższe od potencjalnych korzyści, |
4 | Maksymalna | - nakłady niezbędne na przełamanie stosowanych zabezpieczeń są wielokrotnie niższe od potencjalnych korzyści. |
Wynikiem analizy podatności jest lista podatności poszczególnych zasobów na zidentyfikowane zagrożenia według powyższej skali (patrz Tabela nr 6).
Tabela 6. Podatność zasobów na zagrożenia
Lp. | Zagrożenie | Zasób | Wartość podatności zasobu | ||
Poufność | Integralność | Dostępność | |||
1 | Zagrożenie A | Zasób 1 | X | Y | Z |
2 | Zagrożenie B | Zasób 1 | X1 | Y1 | Z1 |
3 | Zagrożenie C | Zasób 1 | x2 | Y2 | Z2 |
4 | Zagrożenie D | Zasób 2 | x3 | Y3 | Z3 |
5 | Zagrożenie E | Zasób 2 | x4 | Y4 | Z4 |
6 | Zagrożenie F | Zasób 2 | x5 | Y5 | Z5 |
2.7. Analiza i prezentacja ryzyka
Celem procesu analizy ryzyka jest ocena i przedstawienie ryzyka dla poszczególnych zagrożeń zidentyfikowanych dla rozpatrywanego zasobu.
Prezentacji ryzyka dokonuje się w postaci czterech rysunków (map ryzyka) opartych o poniższy wzorzec oddzielnie dla każdego atrybutu bezpieczeństwa informacji (tj. poufności, integralności i dostępności) oraz łącznie dla wszystkich atrybutów.
Rysunek nr 1 Wykres Ryzyka dla zasobu (Mapa ryzyka)
Ryzyko dla poszczególnych zagrożeń jest zaznaczane na powyższym rysunku w postaci kółek (dla atrybutu poufności), kwadratów (dla atrybutu integralności) i trójkątów (dla atrybutu dostępności), przy których podaje się liczbę zagrożeń o danym poziomie ryzyka.
Poziom ryzyka | Zakres | Sugestie |
Minimalny | 1<= Skutki < 3 1<= Podatność < 3 | Akceptacja ryzyka, normalny nadzór. |
Średni przy wysokich szkodach | 3<= Skutki <= 4 1<= Podatność < 3 | Konieczność wzmożonego nadzoru. Wdrożenie dodatkowych środków ochrony (działania ograniczające). |
Średni przy wysokiej podatności | 1<= Skutki < 3 3<= Podatność <= 4 | Wdrożenie dodatkowych środków ochrony (działania ograniczające) i konieczność wzmożonego nadzoru. |
Maksymalny | 3<= Skutki <= 4 3<= Podatność <= 4 | Pilne wdrożenie dodatkowych środków ochrony (działania ograniczające) i konieczność ciągłego nadzoru. |
W podsumowaniu analizy ryzyka wyszczególnione zostają zagrożenia, dla których jednocześnie skutki i podatność mają wartości wyższe lub równe 3 (dla tych zagrożeń podawane są przyczyny wysokiego oszacowania ryzyka).
Po przeprowadzeniu czynności i działań związanych z analizą ryzyka bezpieczeństwa zasobów, przygotowana zostaje dokumentacja dotycząca przeprowadzonej analizy ryzyka.
W przypadku, gdy nie wyszczególniono w podsumowaniu analizy ryzyka zagrożeń, dla których oszacowano maksymalny lub średni przy wysokiej podatności poziom ryzyka, dokumentacja analizy ryzyka zostaje przekazana kierownikowi jednostki organizacyjnej CBA lub dyrektorowi delegatury ZOR odpowiedzialnej za zasób w celu zatwierdzenia poziomu ryzyka akceptowalnego.
Natomiast w przypadku wyszczególnienia w podsumowaniu analizy ryzyka zagrożeń, dla których oszacowano maksymalny lub średni przy wysokiej podatności, końcowym etapem analizy ryzyka, następującym przed przekazaniem dokumentacji, jest przedstawienie uzyskanych wyników zespołowi ekspertów. W skład zespołu ekspertów wchodzą przedstawiciel(e): jednostki organizacyjnej CBA lub delegatury ZOR odpowiedzialnej za zasób, Departamentu Ochrony i Zarządu Analiz i Ewidencji CBA. Na podstawie przedstawionych wyników, zespół ekspertów wyciąga wnioski dotyczące możliwości zaakceptowania ryzyka na wyliczonych poziomach lub zastosowania dodatkowych zabezpieczeń mogących zredukować poziom ryzyka. Wnioski zespołu ekspertów, w formie rekomendacji (patrz Tabela nr 7), przekazywane są wraz z pozostałą dokumentacją dotyczącą przeprowadzonej analizy ryzyka kierownikowi jednostki organizacyjnej CBA lub dyrektorowi delegatury ZOR odpowiedzialnej za zasób w celu zatwierdzenia.
Tabela 7. Rekomendacje zespołu ekspertów
Rekomendacje zespołu ekspertów | Data: | ||||||
Nazwa zasobu: | dd, mm, rrrr | ||||||
Lp. | Rekomendacje | Uwagi Zatwierdzającego | |||||
1 | Rekomendacja 1 | ||||||
2 | Rekomendacja 2 | ||||||
3 | Rekomendacja 3 | ||||||
4 | Rekomendacja 4 | ||||||
... | ... | ||||||
Skład zespołu ekspertów: | |||||||
1. | imię i nazwisko | funkcja | podpis | ||||
2. | |||||||
3. | |||||||
4. | |||||||
... | |||||||
ZATWIERDZAM: | |||||||
imię i nazwisko | Podmiot odpowiedzialny | podpis | |||||
ZAŁĄCZNIK Nr 2
PRZYKŁADOWA LISTA ZAGROŻEŃ DLA SYSTEMU INFORMATYCZNEGO
PRZYKŁADOWA LISTA ZAGROŻEŃ DLA SYSTEMU INFORMATYCZNEGO
Lp. | Zagrożenie | Kategoria | Zasób | Szczegółowy opis zagrożenia | Oddziaływanie na zasób | ||
Poufność | Integralność | Dostępność | |||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
1. | Atak socjotechniczny | II | Osoby | Wyłudzenie | Tak | Tak | Tak |
2. | Atak technologiczny wewnętrzny, zewnętrzny | IV | Sieć | Na system | Tak | Tak | Tak |
3. | Atak technologiczny wewnętrzny, zewnętrzny | IV | Sieć | Na aplikację | Tak | Tak | Tak |
4. | Awaria aplikacji | III | Aplikacja | Samoistna awaria | Tak | Tak | Tak |
5. | Awaria bazy danych | III | Baza Danych | Samoistna awaria | Tak | Tak | Tak |
6. | Awaria drukarki | III | Drukarka | Samoistna awaria | Nie | Nie | Tak |
7. | Awaria linii transmisyjnej | III | Szyfrator | Samoistna awaria | Nie | Nie | Tak |
8. | Awaria lub zakłócenie zasilania dedykowanego | IV | UPS | Samoistna awaria | Nie | Nie | Tak |
9. | Awaria PC | III | PC | Samoistna awaria | Nie | Nie | Tak |
10. | Awaria serwera | III | Serwer | Samoistna awaria | Nie | Tak | Tak |
11. | Awaria sieci strukturalnej, składników sieci | III | LAN | Przerwana łączność | Nie | Tak | Tak |
12. | Awaria systemu operacyjnego | III | System Operacyjny | Samoistna awaria | Nie | Tak | Tak |
13. | Awaria szyfratora kanałów | III | Szyfrator | Samoistna awaria | Tak | Tak | Tak |
14. | Awaria UPS | III | UPS | Samoistna awaria | Nie | Nie | Tak |
15. | Awaria usług łączności sieciowej | III | Sieć | Samoistna awaria | Nie | Tak | Tak |
16. | Błąd importu danych do systemu | III | Sieć | Nieprawidłowe działanie elementów aktywnych lub okablowania | Nie | Tak | Tak |
17. | Błędy konserwacji aplikacji | IV | Aplikacja | Umyślne lub przypadkowe | Nie | Tak | Tak |
18. | Błędy konserwacji serwera | II | Serwer | Umyślne lub przypadkowe (przez Administratora) | Nie | Tak | Tak |
19. | Błędy transmisji zbiorów uaktualniających bazę danych | III | Sieć | Umyślne, przypadkowe | Nie | Tak | Tak |
20. | Brak potwierdzenia możliwości komunikacji między serwerem i klientem | III | Serwer | Nie | Nie | Tak | |
21. | Destrukcja informacji i programów zewnętrznym impulsem | II | Serwer | Nie | Tak | Tak | |
22. | Emisja ujawniająca | II | Zestaw komputerów | Tak | Nie | Nie | |
23. | Kradzież nośnika informacji przez osobę nieuprawnioną (dyskietka, dysk twardy, taśma) | II | Nośnik | W trakcie przenoszenia lub z miejsca przechowywania | Tak | Nie | Tak |
24. | Kradzież wydruku przez osobę nieuprawnioną | II | Wydruk | Tak | Nie | Nie | |
25. | Luki w oprogramowaniu i protokołach | IV | Administrator | Zaniedbania w zarządzaniu Patchami | Tak | Tak | Tak |
26. | Manipulacja w systemie zabezpieczeń | IV | Administrator | Przez administratora | Tak | Tak | Tak |
27. | Modyfikacja zawartości wiadomości (skrzynek pocztowych) | II | Administrator, Inspektor | Dokonywana przez administratora, Inspektora | Tak | Tak | Nie |
28. | Niedokonanie blokady konta po cofnięciu dostępu do systemu | IV | Administrator | Przez administratora | Tak | Tak | Tak |
29. | Nieusunięcie informacji z dyskietki po przeniesieniu plików do systemu | IV | Użytkownik | Przez użytkownika | Tak | Nie | Nie |
30. | Nieusunięcie informacji z nośnika przed jego likwidacją, przekazaniem lub naprawą | IV | Administrator | Przez administratora | Tak | Nie | Nie |
31. | Niezniszczenie wydruków o charakterze roboczym | IV | Użytkownik | Przez użytkownika | Tak | Nie | Nie |
32. | Niedostępność bazy danych | IV | Aplikacja | Brak możliwości przeprowadzenia kontroli formalnej | Nie | Nie | Tak |
33. | Niedostępność systemu | IV | Aplikacja | Brak dostępu do plików | Nie | Nie | Tak |
34. | Niemożność przeniesienia informacji z dyskietki do systemu | IV | Dyskietka | Uszkodzenie dyskietki lub niepoprawne działanie aplikacji FTP | Nie | Nie | Tak |
35. | Nieumyślne uszkodzenie oprogramowania serwera | II | Administrator, Inspektor | Nie | Tak | Tak | |
36. | Nieuprawniona modyfikacja informacji przeznaczonej dla odbiorców zewnętrznych | II | Użytkownik | Przez użytkownika (dot. informacji przekazywanej) | Nie | Tak | Tak |
37. | Nieuprawnione usunięcie użytkownika z grupy "użytkownicy" katalogu z informacją | II | Administrator | Przez administratora | Nie | Nie | Tak |
38. | Podgląd informacji z monitora przez osobę nieuprawnioną | I | PC | Np. przez nieuprawnioną osobę | Tak | Nie | Nie |
39. | Podgląd informacji z wydruku przez osobę nieuprawnioną | I | Wydruk | Np. przez nieuprawnioną osobę | Tak | Nie | Nie |
40. | Porzucenie nośnika informacji | II | Użytkownik | Tak | Nie | Nie | |
41. | Porzucenie wydruku | II | Użytkownik | Tak | Nie | Nie | |
42. | Powielenie wiadomości lub jej przejęcie i opóźniona transmisja | II | Administrator, Inspektor | Tak | Nie | Nie | |
43. | Powodowanie szczelin w systemie zabezpieczeń | II | Osoby | Tak | Tak | Tak | |
44. | Pozostawienie nośników poza miejscem ich przechowywania | II | Osoby | Tak | Nie | Nie | |
45. | Przejrzenie, skopiowanie, sfałszowanie lub skasowanie informacji | II | Osoby | Tak | Tak | Tak | |
46. | Przepięcie w sieci elektrycznej | IV | Sprzęt | Skok napięcia | Nie | Tak | Tak |
47. | Przypadkowe skasowanie zawartości zarejestrowanego nośnika | II | Użytkownik | Nie | Tak | Tak | |
48. | Tolerowanie szczelin w systemie zabezpieczeń | IV | Administrator, Użytkownik, Inspektor | Brak podjęcia działań w przypadku posiadania wiedzy o lukach w systemie zabezpieczeń | Tak | Tak | Tak |
49. | Umyślne skasowanie informacji (np. zawartości skrzynki pocztowej) | II | Administrator, Inspektor | Nie | Nie | Tak | |
50. | Umyślne uszkodzenie oprogramowania systemowego serwerów | I | System Operacyjny | Nie | Tak | Tak | |
51. | Umyślne uszkodzenie aplikacji | II | Osoby | Tak | Tak | Tak | |
52. | Uszkodzenie bazy danych osobowych | II | Osoby | Tak | Tak | Tak | |
53. | Uszkodzenie drukarki | II | Osoby | Nie | Nie | Tak | |
54. | Uszkodzenie informacji w skrzynkach pocztowych | II | Użytkownik | Tak | Tak | Tak | |
55. | Uszkodzenie nośnika z kopią zapasową przez osobę nieuprawnioną | II | Nośnik | Nie | Tak | Tak | |
56. | Uszkodzenie oprogramowania | II | Administrator, Użytkownik | Nie | Tak | Tak | |
57. | Uszkodzenie PC przez osobę nieuprawnioną | II | PC | Tak | Tak | Tak | |
58. | Uszkodzenie plomb zabezpieczających PC przez osobę nieuprawnioną | II | Zestaw komputerów | Tak | Nie | Tak | |
59. | Uszkodzenie serwera przez osobę nieuprawnioną | II | Serwer | Nie | Tak | Tak | |
60. | Uszkodzenie szyfratora | II | Osoby | Tak | Tak | Tak | |
61. | Uszkodzenie UPS przez osobę nieuprawnioną | II | UPS | Nie | Nie | Tak | |
62. | Uszkodzenie zarejestrowanego nośnika | II | Osoby | Nie | Tak | Tak | |
63. | Użycie nielegalnego oprogramowania | II | Administrator | Wykorzystywanie oprogramowania z nielegalnego źródła lub niesprawdzonego, które może powodować konflikty software'owe dla systemu zakłócając lub uniemożliwiając jego działanie | Nie | Tak | Tak |
64. | Atak wewnętrzny na aplikację | II | Aplikacja | Osoba nieuprawniona | Tak | Tak | Tak |
65. | Wprowadzenie do systemu oprogramowania złośliwego | IV | Osoby | Tak | Tak | Tak | |
66. | Wprowadzenie osoby nieuprawnionej do grupy "użytkownicy" katalogu z informacją | II | Administrator | Przez administratora | Tak | Tak | Tak |
67. | Wydanie niewłaściwej dyskietki | II | Użytkownik | Tak | Nie | Tak | |
68. | Wykorzystanie nośnika o złej jakości | II | Osoby | Nie | Tak | Tak | |
69. | Wykorzystanie zalogowanego komputera do przejrzenia, skopiowania, sfałszowania lub skasowania informacji przez osobę nieuprawnioną | I | PC | Np. przez nieuprawnionego pracownika lub funkcjonariusza | Tak | Tak | Tak |
70. | Wyłudzenie haseł dostępu użytkowników uprzywilejowanych do serwera | II | Administrator | Tak | Tak | Tak | |
71. | Wyłudzenie hasła administratora | II | Administrator | W celu zakłócenia pracy systemu lub skopiowania informacji | Tak | Tak | Tak |
72. | Wyłudzenie hasła dostępu AS do SO | II | Administrator | Tak | Tak | Tak | |
73. | Wyłudzenie hasła dostępu U do SO | II | Użytkownik | Tak | Tak | Tak | |
74. | Wyłudzenie hasła ADMINISTRATOR w BIOS | II | Użytkownik, | Tak | Tak | Tak | |
75. | Wyniesienie niezarejestrowanego wydruku | II | Użytkownik | Przez użytkownika | Tak | Nie | Nie |
76. | Wyniesienie zarejestrowanej dyskietki | II | Użytkownik | Tak | Nie | Nie | |
77. | Zagubienie zarejestrowanej dyskietki | II | Użytkownik | Tak | Nie | Tak | |
78. | Zaprzeczenie wysłania wiadomości | II | Użytkownik | Nie | Tak | Nie | |
79. | Złamanie haseł dostępu AS do urządzeń aktywnych sieci | II | Sieć | Osoba nieuprawniona | Tak | Tak | Tak |
80. | Złamanie hasła ADMINISTRATOR w BIOS | II | PC | Osoba nieuprawniona | Tak | Tak | Tak |
81. | Złamanie hasła administratora | II | System Operacyjny | Osoba nieuprawniona | Tak | Tak | Tak |
82. | Złamanie hasła dostępu U do SO | II | System Operacyjny | Osoba nieuprawniona | Tak | Tak | Tak |
83. | Zmiana konfiguracji oprogramowania | IV | Administrator | Przez administratora | Tak | Tak | Tak |
84. | Zmiana konfiguracji sprzętu | IV | Administrator | Przez administratora | Tak | Tak | Tak |